Auditoría del Servidor Web con Webshag

  • Posted on: 17 February 2014
  • By: ReYDeS

Webshag es un herramienta de auditoria multi-tarea y multi-plataforma para un servidor web. Está escrita en python, y tiene funcionalidades útiles para la auditoría del servidor web como rastreo (crawling) del sitio web, escaneo de URLs o fuzzing de archivos.

Webshag puede ser utilizado para escanear un servidor web en HTTP o HTTPS, a través de un proxy o utilizando la autenticación HTTP (Basic y Digest). Además de proporcionar funcionalidades para la evasión de IDS, destinadas a hacer la correlación entre solicitudes más complicada (por ejemplo, utilizando un servidor proxy HTTP aleatorio y diferente por cada solicitud).

También proporciona funcionalidades como la capacidad de recuperar listas de nombres de dominios hospedados en una máquina objetivo y fuzzing de archivos utilizando nombres de archivos generados dinámicamente (adicionalmente al fuzzing común basado en listas).

El escaner URL de Webshag y fuzzer de archivo tienen como objetivo reducir el número de falsos positivos y producir un conjunto de resultados más limpio. Para este propósito, webshag implementa un mecanismo de reconocimiento de la página web resistente a los cambios de contenido. Este mecanismo de reconocimiento es luego utilizado en un algoritmo de eliminación de falsos positivos especialmente dirigido a tratar con respuestas “404” del servidor.

Ejecutar Webshag en ingresar la dirección IP o dominio del objetivo de evaluación en la pestaña correspondiente al módulo que se requiere utilizar.

Módulo Pscan

El módulo Pscan (escaneo de puertos) de webshag permite descubrir puertos HTTP abiertos sobre la máquina objetivo. Para realizar esto utiliza la herramienta Nmap.

Módulo Info

El módulo de información sobre el dominio permite recuperar los nombres de dominios referenciados (vhosts) hospedados sobre la misma máquina objetivo. Para lograr esto, utiliza el servicio web proporcionado por Microsoft Live Search. Para utilizar este módulo se requiere tener un AppID válido e ingresarlo en la configuración de webshag.

Módulo Spider

El módulo Spider, permite recorrer todo el sitio web mientras se extraen todos los nombres de directorios, enlaces o sitios web externos y direcciones de correo electrónico que se encuentren.

Módulo Uscan

El módulo Uscan permite realizar un escaneo de vulnerabilidades sobre el servidor/aplicación web objetivo. Para esto se utiliza la base de datos de Nikto2 y una base de datos personalizada.

Módulo Fuzz

El módulo Fuzz puede ser utilizado para descubrir contenidos ocultos (sin enlazar) sobre el servidor. Puede ser utilizado de dos maneras distintas: modo lista y modo generador. El modo lista utiliza tres listas de nombres de directorios, archivos y extensiones comunes. El segundo modo utiliza una cadena "generadora" para generar varios nombres de archivos de acuerdo un formato definido.

Webshag permite exportar los reportes del escaneo, con la opción “File -> Export” del menú ubicado en la parte superior.

Abrir el reporte conteniendo los resultados de los escaneos con un navegador como Firefox.

Durante una Prueba de Penetración se requiere encontrar vulnerabilidades en los servicios, puertos y aplicaciones en funcionamiento en el servidor. Para el caso puntual de un servidor web, pueden existir diferentes vectores de ataques. Aunque Webshag data del año 2008, es una herramienta que se apoya en otras herramientas en constante evolución como Nmap y Nikto2. Mencionar además que las listas de palabras que utiliza Webshag pueden ser personalizadas. Y en el caso del Fuzzer, es cuestión de adecuar sus características a los objetivos de la evaluación.

Fuentes:

http://www.scrt.ch/en/attack/downloads/webshag
http://www.scrt.ch/outils/webshag/ws110_manual.pdf
http://www.badstore.net/
http://nmap.org/
http://www.cirt.net/nikto2

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1